IT und Compliance
Informationsmanagementsysteme (ISMS)

Die Einhaltung der verbindlichen Mindestanforderungen in Bezug auf die Sicherheit und Verfügbarkeit von Informationen bei der Nutzung von Informations- und Kommunikationssystemen ist aus einer zwischenzeitlich ganzen Reihe unterschiedlicher rechtlicher Aspekte das, was gemeinhin als „Compliance“ verstanden und allenthalben gefordert wird: In Bezug auf die Verletzung der Integrität oder der Vertraulichkeit schutzbedürftiger Daten zieht die Rechtsprechung längst nach und etabliert zunehmend allgemeine Sorgfalts- und Handlungspflichten für effektive, zeitgemäße IT-Sicherheit.

Schon um also unangenehme Haftungsfolgen für das Unternehmen wie die handelnden Organisationsverantwortlichen zu vermeiden, ist unter Berücksichtigung der für das konkrete Unternehmen jeweils einschlägigen rechtlichen Rahmenbedingungen eine Ordnung der im Unternehmen generierten und/oder verwalteten Informationen nach Datenkategorien (z.B. steuerrelevant, vertraulich oder publizitätspflichtig) zu definieren.
Innerhalb dieser Oberkategorien sind diese Informationen wiederum gemäß ihrer speziellen rechtlichen Anforderungen effizient zu verwalten, d. h. es sind entsprechend der Kategorisierung technisch-organisatorische Schutzstufenkonzepte nebst Definition der Verantwortlichkeiten für alle Notfallszenarien zuzuweisen und zu dokumentieren, um einer „ganzheitlichen Sicherheit“ zumindest haftungsausschließend möglichst nahe zu kommen.

Ein unabdingbares Instrument, um diesen komplexen Anforderungen gerecht zu werden, ist ein Managementsystem für Informationssicherheit (engl.: Information Security Management System, ISMS):
Dabei geht es um eine transparente Aufstellung von Verfahren und Regeln innerhalb eines Unternehmens oder einer öffentlichen Verwaltung, welche dazu dienen, die Informationssicherheit in Form der Vertraulichkeit, Verfügbarkeit und Integrität dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrecht zu erhalten und fortlaufend zu verbessern.

Bereits seit 2006 sind die einschlägigen IT-Grundschutz-Kataloge an die internationale Norm ISO/IEC 27001 angepasst und definieren (wie ISO 17799) ein ISMS; sie können auch für Deutschland als ein Quasi-Standard angesehen werden. Zertifizierungen von IT-Systemen nach diesen Standards sind wie die „Common Criteria“ (ISO/IEC 15408) für IT-Produkte insbesondere bei einer Bewertung nach Basel II wie auch in der gerichtlichen Auseinandersetzung ein objektives Merkmal für das Vorliegen von IT-Sicherheit auf der Basis von IT-Grundschutz nach BSI.

Die Einführung dieser Standards und Policies ist nicht Aufgabe spezieller Kompetenzen innerhalb des Unternehmens oder der Verwaltung; vielmehr obliegt die Umsetzung und Kontrolle zunächst mal der Organisationspflicht der gesamtverantwortlichen Geschäftsleitung; sie ist nach einem „Top-Down Ansatz“ schrittweise nach Zuständigkeiten zu konkretisieren. Weder die Gesamtverantwortung noch die Investitionsentscheidung für eine effektive IT-Sicherheit kann von Vorständen und Aufsichtsgremien sozusagen haftungsbefreiend delegiert werden:
Dem Datenschutzbeauftragten oder dem IT-Sicherheitsbeauftragten obliegt allenfalls die bereichsspezifische Erstellung und Überwachung der Datenschutzkonzepte oder Sicherheitskonzepte.

Wer heute also gegenüber Gerichten, Geschäftspartnern, Banken oder Behörden den belastbaren Nachweis eines IT-Grundschutzes führen will, bzw. dem Endkunden oder Bürger die effiziente Bemühung um eine ausreichende IT-Sicherheit in vertrauenswürdiger Weise kommunizieren will, der ist auf professionelle Hilfe angewiesen, die wir Ihnen gerne bieten.

Alle rechtlichen Inhalte auf dieser Seite wurden mitgeteilt von
Rechtsanwalt Henrik Angster
esb Rechtsanwälte Stuttgart